[allstars]

Jag har en kund som efterfrågar en litet säkrare inloggningsfunktionalitet där, förutom med användarnamn och lösenord, man loggar in med en form av captcha fast förutom att man bara ska skriva in det som står i bilden ska man matcha tecken/siffror som står på en fysisk lapp, eller ett platskort som man får från företaget.

Varje kund har varsitt kort som alla användare (anställda) kan använda.

Man skulle kunna använda sig av ett system där skärmen skriver ut slumpade tecken av tecknena [A B C D E F] och på sitt papper har man då siffror [1 2 3 4 5 6] som ska motsvara varje bokstav.

En kund har följande på sitt kort:

A B C D E F
2 3 6 1 4 5


På skärmen vid inloggningstillfället kanske då följande kombination visas: [F E A C D B]
Då ska användaren ange: 5 4 2 6 1 2

Denna föreslagna lösning borde man kunna koda rätt snabbt. Man får givetvis salta och hasha "krypteringsnyckeln" så att den inte står i klartext i databasen.

Är detta en bra lösning? Finns det någon annan metodik som man skulle kunna använda i stället?

Skrapkoder verkar lite jobbigt att implementera och dyrt att ta fram.

[Jake.Nu]

Certifikat kanske?

[allstars]

Jo det ska vi också ha självklart, men det var inte det jag var ute efter.

[Jake.Nu]

Citat:

Ursprungligen postat av allstars

Jo det ska vi också ha självklart, men det var inte det jag var ute efter.

Vet du verkligen vad jag menar när jag säger "certifikat" då? Det låter inte så..

[allstars]

Nej tydligen inte, trodde du syftade på SSL.
Vänligen förklara.

[Jake.Nu]

Citat:

Ursprungligen postat av allstars

Nej tydligen inte, trodde du syftade på SSL.
Vänligen förklara.

Det betyder inte att anslutningen skall säkras med SSL/TLS.
Läs på om hur certifikatkedjor fungerar.

[Danski]

Steg 1: Användarnamn + Lösenord
Steg 2: SMS engångskod

Enkelt, användarvänligt och väldigt säkert. Kod-kort tappas bort eller glöms hemma medan telefonen finns alltid i fickan.

[Jake.Nu]

Citat:

Ursprungligen postat av Danski

Steg 1: Användarnamn + Lösenord
Steg 2: SMS engångskod

Enkelt, användarvänligt och väldigt säkert. Kod-kort tappas bort eller glöms hemma medan telefonen finns alltid i fickan.

Kod via SMS är ett bra extra token, det kostar däremot pengar (som kanske inte finns) om det varenda gång skall genereras en ny kod som skickas via SMS..
Det bästa är att kombinera SMS med begäran om ett nytt certifikat för att hålla nere antalet utskick.

[allstars]

SMS kommer inte vara aktuellt. För många länder/marknaden involverade.

Har du Jake, någon resurskälla för bra information för just certifikatkedjor? Jag är inte riktigt nöjd med svaret google ger mig.

Kan certifikatkedjor hjälpa mig att uppnå den inloggningslösning som jag efterfrågar?

[Jake.Nu]

http://publib.boulder.ibm.com/infoce...2Fsy10600_.htm

Ser ut som det finns länkar du kan följa och som beskriver ännu mer.